dnssec將如何幫助確保網際網路安全，以及sopa如何使其成為非法

域名系統安全擴充套件（DNSSEC）是一種安全技術，它將幫助修補網際網路的弱點之一。我們很幸運SOPA沒有透過，因為SOPA會把DNSSEC定為非法。...

域名系統安全擴充套件（DNSSEC）是一種安全技術，它將幫助修補網際網路的弱點之一。我們很幸運SOPA沒有透過，因為SOPA會把DNSSEC定為非法。

DNSSEC為一個網際網路根本沒有安全保障的地方增加了關鍵的安全保障。域名系統（DNS）執行良好，但在這個過程中沒有任何驗證，這給攻擊者留下了漏洞。

現狀

我們已經解釋了DNS在過去是如何工作的。簡而言之，每當你連線到一個域名谷歌網站“或”tl80.cn網站，“您的計算機與其DNS伺服器聯絡，並查詢該域名的相關IP地址。然後，您的計算機連線到該IP地址。

重要的是，DNS查詢中不涉及驗證過程。您的計算機要求其DNS伺服器提供與網站相關的地址，DNS伺服器用IP地址響應，您的計算機說“好的！“很高興能連線到那個網站。你的電腦不會停下來檢查這是否是一個有效的響應。

攻擊者有可能重定向這些DNS請求或設定惡意DNS伺服器以返回錯誤響應。例如，如果您連線到公共Wi-Fi網路並嘗試連線到tl80.cn網站，則該公共Wi-Fi網路上的惡意DNS伺服器可能會返回完全不同的IP地址。IP地址可能會導致你到一個釣魚網站。您的web瀏覽器沒有真正的方法來檢查IP地址是否與tl80.cn網站；它只需信任從DNS伺服器接收到的響應。

HTTPS加密確實提供了一些驗證。例如，假設您嘗試連線到銀行的網站，並且在位址列中看到HTTPS和鎖定圖示。您知道證書頒發機構已驗證該網站屬於您的銀行。

如果您從受損的接入點訪問銀行網站，並且DNS伺服器返回冒名頂替者仿冒網站的地址，仿冒網站將無法顯示HTTPS加密。然而，釣魚網站可能會選擇使用純HTTP而不是HTTPS，打賭大多數使用者不會注意到這一區別，無論如何都會輸入他們的網上銀行資訊。

你的銀行沒有辦法說“這些是我們網站的合法IP地址。”

dnssec將如何提供幫助

DNS查詢實際上分幾個階段進行。例如，當您的計算機要求www.tl80.cn，您的計算機將分幾個階段執行此查詢：

它首先詢問“根區域目錄”在哪裡可以找到.com。
然後它會詢問.com目錄在哪裡可以找到它tl80.cn網站.
然後它問tl80.cn網站在哪裡可以找到www.tl80.cn。

DNSSEC涉及“對根進行簽名”。當您的計算機詢問根區域在哪裡可以找到.com時，它將能夠檢查根區域的簽名金鑰，並確認它是具有真實資訊的合法根區域。然後根區域將提供有關簽名金鑰或.com及其位置的資訊，允許您的計算機聯絡.com目錄並確保其合法性。.com目錄將為提供簽名金鑰和資訊tl80.cn網站，允許它接觸tl80.cn網站並確認你與真實世界有聯絡tl80.cn網站上面的區域證實了這一點。

當DNSSEC全面推出時，您的計算機將能夠確認DNS響應是合法的和真實的，而它目前無法知道哪些是假的，哪些是真的。

閱讀有關加密工作原理的更多資訊。

sopa會怎麼做

那麼，《制止網路盜版法》（更為人熟知的SOPA）是如何在這一切中發揮作用的呢？好吧，如果你遵循SOPA，你會發現它是由不懂網際網路的人寫的，所以它會以各種方式“破壞網際網路”。這是其中之一。

請記住，DNSSEC允許域名所有者簽署他們的DNS記錄。比如說，thepiratebay.se網站可以使用DNSSEC指定與其關聯的IP地址。當您的計算機執行DNS查詢時-是否谷歌網站或者thepiratebay.se網站-DNSSEC將允許計算機確定它正在接收經域名所有者驗證的正確響應。DNSSEC只是一個協議，它並不試圖區分“好”和“壞”網站。

SOPA將要求網際網路服務提供商重定向DNS查詢“壞”網站。例如，如果Internet服務提供商的訂戶嘗試訪問thepiratebay.se網站，ISP的DNS伺服器將返回另一個網站的地址，這將通知他們海盜灣已被封鎖。

有了DNSSEC，這樣的重定向將無法與中間人攻擊區分開來，而DNSSEC的目的是防止中間人攻擊。部署DNSSEC的ISP必須給出海盜灣的實際地址，因此違反了SOPA。為了適應SOPA，DNSSEC必須在其上開一個大洞，允許網際網路服務提供商和**在未經域名所有者許可的情況下重定向域名DNS請求。這將很難（如果不是不可能的話）以一種安全的方式做到，可能會為攻擊者開啟新的安全漏洞。